Amnesty International показала, как власти страны объединились с Cellebrite против журналистов.
Правоохранительные органы Сербии развернули масштабную кампанию цифрового надзора, направленную против журналистов, экологов и гражданских активистов. Спецслужбы неоднократно использовали технологии Cellebrite для взлома мобильных телефонов, после чего на устройства устанавливали мощное шпионское ПО. Согласно докладу Amnesty International, жертвами таких действий стал даже заместитель главного редактора издания FAR Славиш Миланов.
Израильская компания Cellebrite известна своим инструментом UFED, который помогает получать доступ к данным на мобильных устройствах. Однако расследование Amnesty показывает, что эти технологии использовались не только для извлечения данных, но и для установки шпионских программ.
Согласно отчету, сербские правоохранительные органы разработали или приобрели шпионское ПО NoviSpy. Установка программы осуществлялась при задержании или допросах представителей гражданского общества. Специалисты Amnesty обнаружили, что после взлома телефона с помощью Cellebrite на устройства устанавливалось два приложения — «com.serv.services» и «com.accesibilityservice». Программы собирали информацию о звонках, контактах, текстовых сообщениях, записывали аудио и незаметно делали скриншоты.
Одним из пострадавших стал Славиша Миланов, задержанный в феврале 2024 года на улице под предлогом проверки на алкоголь. Amnesty провела анализ устройства и нашла следы использования системы Cellebrite. Организация подтвердила, что после взлома был установлен NoviSpy. Миланов отметил, что после возвращения телефона заметил подозрительные изменения в работе устройства, включая отключение мобильного интернета и Wi-Fi, а также высокую активность приложений.
Скриншоты, сделанные NoviSpy, когда активист использовал Signal и Instagram* (взяты из зараженного телефона и расшифрованы) (источник: Amnesty International )
Похожий случай произошел с активистом-экологом Николой Ристичем, чей телефон также подвергся взлому с использованием Cellebrite и дальнейшей установки NoviSpy. Кроме того, в октябре 2024 года у активиста организации «Крокодил» была выявлена аналогичная схема. После допроса устройство задержанного оказалось заражено шпионским ПО, собиравшим данные о переписке в мессенджерах, электронной почте и активности в соцсетях.
Сербские власти не ответили на запрос Amnesty International по поводу инцидентов, но международные эксперты подтвердили высокую вероятность причастности спецслужб страны к установке NoviSpy.
Доклад Amnesty также включает данные о выявленной уязвимости Android-устройств, связанной с чипсетами Qualcomm, которую использовали сербские правоохранители для внедрения шпионского ПО. Уязвимость была устранена в октябре 2024 года. Google, сотрудничая с Amnesty, смогла дистанционно удалить NoviSpy с зараженных устройств.
Amnesty утверждает, что атаки с использованием Cellebrite и NoviSpy были достаточно масштабными. Сербские власти использовали подобные инструменты не только для наблюдения за гражданским обществом, но и в рамках целевых операций против журналистов. Например, данные с телефона Миланова, включавшие личную, профессиональную и деловую информацию, объемом 1,6 ГБ, были извлечены без соответствующих юридических оснований.
Компания Cellebrite, комментируя доклад, заявила, что проводит оценку соблюдения прав человека перед началом сотрудничества с правоохранительными органами и соблюдает строгие условия лицензионного соглашения. Представитель компании отметил, что если информация Amnesty подтвердится, то действия сербских властей нарушают условия соглашения, и Cellebrite готова пересмотреть сотрудничество с Сербией.
Собираем и анализируем опыт профессионалов ИБ